Geng penjahat siber telah mengeksploitasi kerentanan di situs web publik untuk mencuri kredensial cloud Amazon Web Services (AWS) dan data lainnya dari ribuan organisasi, dalam operasi siber massal yang melibatkan pemindaian jutaan situs untuk mencari titik akhir yang rentan.
Peneliti keamanan siber independen Noam Rotem dan Ran Locar dari kelompok riset CyberCyber Labs yang terorganisir secara longgar mengungkap operasi tersebut pada bulan Agustus, dan melaporkannya ke vpnMentoryang diterbitkan posting blog pada 9 Desember tentang temuan mereka. Penyerang tampaknya terkait dengan kelompok ancaman yang dikenal, Nemesis dan ShinyHunters, yang mungkin paling dikenal karena pelanggaran cloud awal tahun ini yang mencuri data dari setengah juta orang. Pelanggan tiketmaster.
“Kedua 'geng' ini mewakili sindikat penjahat dunia maya yang secara teknis canggih dan beroperasi dalam skala besar demi mendapatkan keuntungan dan menggunakan keterampilan teknis mereka untuk mengidentifikasi kelemahan dalam pengendalian dari perusahaan yang bermigrasi ke komputasi awan tanpa sepenuhnya memahami kompleksitas layanan maupun kontrol yang ditawarkan dalam komputasi awan. ” catat Jim Routh, chief trust officer di Saviynt, sebuah perusahaan manajemen identitas dan keamanan cloud.
Ironisnya, para peneliti menemukan operasi tersebut ketika penyerang berbahasa Prancis melakukan kecerobohan berbasis cloud — mereka menyimpan beberapa data yang diambil dari korban di bucket AWS Simple Storage Service (S3) yang berisi 2TB data dan dibiarkan terbuka karena kesalahan konfigurasi oleh pemiliknya, menurut postingan tersebut.
“Bucket S3 digunakan sebagai 'drive bersama' antara anggota kelompok penyerang, berdasarkan kode sumber alat yang digunakan oleh mereka,” tulis tim peneliti vpnMentor dalam postingannya.
Di antara data yang dicuri dalam operasi tersebut termasuk kredensial infrastruktur, kode sumber kepemilikan, database aplikasi, dan bahkan kredensial ke layanan eksternal tambahan. Ember tersebut juga mencakup kode dan perangkat lunak yang digunakan untuk menjalankan operasi, serta ribuan kunci dan rahasia yang diambil dari jaringan korban, kata para peneliti.
Urutan Serangan Dua Bagian
Para peneliti akhirnya merekonstruksi rangkaian serangan dua langkah yaitu penemuan dan eksploitasi. Penyerang memulai dengan serangkaian skrip untuk memindai sejumlah besar IP milik AWS, mencari “kerentanan aplikasi yang diketahui serta kesalahan yang mencolok,” menurut tim vpnMentor.
Penyerang menggunakan mesin pencari IT Shodan untuk melakukan pencarian terbalik pada alamat IP, menggunakan utilitas di gudang senjata mereka untuk mendapatkan nama domain yang terkait dengan setiap alamat IP yang ada dalam rentang AWS untuk memperluas permukaan serangan mereka. Dalam upaya memperluas daftar domain, mereka juga menganalisis sertifikat SSL yang disajikan oleh setiap IP untuk mengekstrak nama domain yang terkait dengannya.
Setelah menentukan target, mereka memulai proses pemindaian, pertama untuk menemukan titik akhir generik yang terbuka dan kemudian mengkategorikan sistem, seperti Laravel, WordPress, dll. Setelah ini selesai, mereka akan melakukan pengujian lebih lanjut, mencoba mengekstrak informasi akses database, Kunci dan rahasia pelanggan AWS, kata sandi, kredensial basis data, kredensial akun Google dan Facebook, kunci publik dan pribadi kripto (untuk CoinPayment, Binance, dan BitcoinD), dan banyak lagi dari titik akhir khusus produk.
“Setiap rangkaian kredensial diuji dan diverifikasi untuk menentukan apakah aktif atau tidak,” menurut postingan tersebut. “Mereka juga ditulis ke file keluaran untuk dieksploitasi pada tahap operasi selanjutnya.”
Ketika kredensial pelanggan AWS yang terekspos ditemukan dan diverifikasi, penyerang juga mencoba memeriksa hak istimewa pada layanan utama AWS, termasuk: manajemen identitas dan akses (IAM), Layanan Email Sederhana (SES), Layanan Pemberitahuan Sederhana (SNS), dan S3.
Atribusi Serangan Cyber & Respons AWS
Para peneliti melacak para pelaku melalui alat yang digunakan dalam operasi tersebut, yang “tampaknya sama” dengan yang digunakan oleh ShinyHunters. Alat-alat tersebut didokumentasikan dalam bahasa Prancis dan ditandatangani oleh “Sezyo Kaizen,” alias yang terkait dengan Sebastien Raoult, anggota ShinyHunters yang ditangkap dan mengaku bersalah atas tuntutan pidana awal tahun ini.
Para peneliti juga menemukan tanda tangan yang digunakan oleh operator pasar Web Gelap yang disebut “Pasar Gelap Musuh,” yang berfokus pada penjualan kredensial akses curian dan akun yang digunakan untuk spam.
Para peneliti, yang bekerja di Israel, melaporkan temuan mereka ke Direktorat Siber Israel pada awal September, dan kemudian memberi tahu AWS Security dalam laporan yang dikirimkan pada 26 September. Perusahaan segera mengambil langkah-langkah untuk memitigasi dampak dan mengingatkan pelanggan yang terkena dampak akan hal tersebut. risiko, menurut vpnMentor.
Pada akhirnya, tim AWS menemukan bahwa operasi tersebut menargetkan kelemahan yang ada di sisi aplikasi pelanggan model cloud tanggung jawab bersama dan tidak mencerminkan kesalahan apa pun dari AWS, yang menurut para peneliti mereka “sepenuhnya setuju”. Tim keamanan AWS mengonfirmasi bahwa mereka telah menyelesaikan penyelidikan dan mitigasi pada 9 November dan memberi lampu hijau kepada para peneliti untuk mengungkap insiden tersebut.
Beberapa langkah yang dapat dilakukan organisasi untuk menghindari serangan serupa terhadap lingkungan cloud mereka masing-masing termasuk memastikan kredensial hardcode tidak pernah ada dalam kode mereka atau bahkan dalam sistem file mereka, yang mungkin dapat diakses oleh pihak yang tidak berwenang.
Organisasi juga harus melakukan pemindaian Web sederhana menggunakan alat sumber terbuka seperti “dirsearch” atau “nikto”, yang sering digunakan oleh penyerang yang malas untuk mengidentifikasi kerentanan umum. Hal ini akan memungkinkan mereka menemukan lubang di lingkungan mereka sebelum pelaku jahat melakukannya, kata para peneliti.
Firewall aplikasi Web (WAF) juga merupakan solusi yang relatif murah untuk memblokir aktivitas jahat, dan juga bermanfaat untuk “memutar” kunci, kata sandi, dan rahasia lainnya secara berkala, kata mereka. Organisasi juga dapat menciptakan Token Kenari dalam kode mereka di tempat-tempat rahasia, para peneliti mencatat, yang bertindak sebagai tripwires untuk mengingatkan administrator bahwa penyerang mungkin mengacak-acak tempat yang tidak seharusnya.
Routh mengatakan insiden ini juga memberikan kesempatan pembelajaran bagi organisasi yang, ketika dihadapkan pada pilihan teknologi baru, harus menyesuaikan dan merancang pengendalian siber untuk mencapai ketahanan dibandingkan menggunakan metode pengendalian konvensional.
_Vladimir_Stanisic_Alamy.jpg?disable=upscale&width=1200&height=630&fit=crop&w=300&resize=300,300&ssl=1 "Risiko menggunakan model AI yang dikembangkan oleh negara -negara yang bersaing")
![[Virtual Event] Anatomi pelanggaran data: dan apa yang harus dilakukan jika itu terjadi pada Anda](https://i0.wp.com/www.darkreading.com/assets/darkreading-C928X8LZ.ico?w=300&resize=300,300&ssl=1 "[Virtual Event] Anatomi pelanggaran data: dan apa yang harus dilakukan jika itu terjadi pada Anda")